Mozgó egyedüli fõkiszolgálóval végzett mûveletek (FSMO) szerepkörei a Windows 2000 Active Directoryban

A Microsoft Windows 2000 Active Directory olyan központi adattár, amelyben a vállalathoz tartozó összes objektum és annak attribútumai találhatók. Hierarchikus, több fõkiszolgálós adatbázis, amely több millió objektum tárolására alkalmas. A több fõkiszolgálós felépítés azt jelenti, hogy a vállalat bármely tartományvezérlõjén elvégezhetjük az adatbázis módosítását függetlenül attól, hogy a tartományvezérlõ kapcsolódik-e a hálózathoz.

Windows 2000 több fõkiszolgálós modell

A több fõkiszolgáló adatbázisokban (például Active Directory) a módosításokat a vállalat tetszõleges tartományvezérlõjén elvégezheti, de ezzel együtt új hibalehetõségek is felmerülnek az adatoknak a vállalat többi részére való replikálásakor. Windows 2000 rendszerben a frissítési ütközések feloldásának egyik módja feloldási algoritmus alkalmazása az értékek eltérésének kezeléséhez. Ekkor a program a feloldást csak abban a tartományvezérlõben végzi el, amelybe legutoljára írtak, a többi tartományvezérlõ módosításait elveti. Bár ez a módszer egyes esetekben használható, egyes ütközések túl bonyolultak ahhoz, hogy ezzel a módszerrel oldják fel õket. Bizonyos esetekben egyszerûbb megelõzni az ütközést, mint utólag feloldani azt.

Egyes módosítástípusokhoz a Windows 2000 az ütközések megelõzésére szolgáló módszereket biztosít az Active Directory frissítései esetében.

Windows 2000 egyetlen fõkiszolgálós modell

A Windows 2000 ütközõ frissítéseinek megelõzésére az Active Directory egyes objektumok frissítését egyetlen fõkiszolgálós módszerrel hajtja végre. Az egyetlen fõkiszolgálós modellben az egész címtárban csak egyetlen tartományvezérlõhöz van engedélyezve a frissítések végrehajtása. Ez hasonló a Windows korábbi verzióiban (például Microsoft Windows NT 3.51 és 4.0) használt elsõdleges tartományvezérlõi (PDC) szerephez, amelynél az elsõdleges tartományvezérlõ felelõs az adott tartomány összes frissítésének elvégzéséért.

A Windows 2000 Active Directory kibõvíti a Windows korábbi verzióiban használt egyetlen fõkiszolgálós modellt, mivel több szerepet kínál, és a szerepek átadhatók a vállalat tetszõleges tartományvezérlõje számára. Mivel az Active Directory szerepe nem egyetlen tartományvezérlõhöz tartozik, mozgó egyedüli fõkiszolgálóval végzett mûvelet (Flexible Single Master Operation – FSMO) szerepének is nevezhetjük. A Windows 2000 rendszerben jelenleg öt FSMO-szerep található:

• Séma-fõkiszolgáló
• Tartománynév-kiosztási fõkiszolgáló
• RID-kiszolgáló
• Elsõdleges tartományvezérlõ (PDC) emulátora
• Inrastruktúradémon

Séma-fõkiszolgáló FSMO-szerep

A séma-fõkiszolgálói FSMO-szerep birtokosa a címtárséma frissítéseinek elvégzéséért felelõs tartományvezérlõ (a séma elnevezési környezete vagy LDAP://cn=schema,cn=configuration,dc=<tartomány>). Ez a tartományvezérlõ az egyetlen, amely a címtárséma frissítéseit elvégezheti. A séma frissítését követõen a rendszer replikálja azt a séma fõkiszolgálójáról a címtár összes tartományvezérlõjére. Címtáranként csak egy séma-fõkiszolgáló van.

Tartománynév-kiosztási fõkiszolgáló FSMO-szerep

A tartománynév-kiosztási fõkiszolgálói FSMO-szerep birtokosa a címtár erdõszintû tartománynév-módosításáért felelõs tartományvezérlõ (a Partitions\Configuration elnevezési környezet vagy a LDAP://CN=Partitions, CN=Configuration, DC=<tartomány>). Csak ez a tartományvezérlõ adhat hozzá címtárat a tartományhoz, illetve távolíthat el onnan. Ezenkívül kereszthivatkozásokat adhat hozzá a külsõ címtárakhoz, és azokat eltávolíthatja.

RID-kiszolgálói FSMO-szerep

A mozgó egyedüli fõkiszolgálók (FSMO) RID-kiszolgálói szerepkörének tulajdonosa az az egy tartományvezérlõ, mely az adott tartomány tartományvezérlõirõl a relatív azonosítók készletével kapcsolatos összes kérelem feldolgozásáért felelõs. Ezenkívül az objektum egyik tartományból való eltávolítására és egy másikba való helyezésére is jogosult.

Amikor a tartományvezérlõ biztonságitag-objektumot (például felhasználót vagy csoportot) hoz létre, egyedi biztonsági azonosítót (SID) rendel hozzá. A biztonsági azonosító a tartomány biztonsági azonosítójából (ez a tartományban létrehozott azonosítók esetében megegyezik) és egy relatív azonosítóból (RID) áll, amely a tartományban létrehozott azonosítók esetében egyedi.

A Windows 2000 tartományának összes tartományvezérlõjéhez relatív azonosítók készlete tartozik, amely a létrehozott rendszerbiztonsági tagokhoz rendelhetõ. Amikor a tartományvezérlõhöz rendelt relatív azonosítók készlete egy adott küszöb alá esik, a tartományvezérlõ további azonosítókra vonatkozó kérelmet küld a RID-kiszolgálónak. A tartomány RID-kiszolgálója válaszol a kérelemre, relatív azonosítókat olvas be a nem hozzárendelt relatív azonosítók készletébõl, és hozzárendeli a kérelmezõ tartományvezérlõ készletéhez. A címtárhoz tartományonként egy RID-kiszolgáló tartozik.

Elsõdleges tartományvezérlõ emulátora FSMO-szerep

Az elsõdleges tartományvezérlõ emulátora a vállalat idõszinkronizálásához szükséges. A Windows 2000 része a W32Time (Windows idõ) nevû szolgáltatás, amelyre a Kerberos hitelesítési protokollnak van szüksége. Az adott vállalaton belüli Windows 2000 rendszerrel mûködõ számítógépek idõbeállítása megegyezik. Az idõszolgáltatás célja annak biztosítása, hogy a Windows idõszolgáltatása hierarchikus kapcsolatrendszer segítségével határozza meg a hitelesnek tekintendõ számítógépeket, és a közös idõ használatának biztosítása érdekében ne engedélyezze a hurkokat.

A tartomány elsõdleges tartományvezérlõjének emulátora mérvadó a tartományban. Az erdõ gyökértartományában található elsõdlegestartományvezérlõ-emulátor lesz a vállalat mérvadó tartományvezérlõje, és úgy kell beállítani, hogy a külsõ forrásból kérdezze le az idõt. Az elsõdleges tartományvezérlõ emulátora FSMO-szerepkörû elsõdleges tartományvezérlõk a tartományhierarchiát követik a bejövõ idõpartner kiválasztásánál.

Windows 2000 tartományban az Elsõdleges tartományvezérlõ emulátora szerep birtokosa megõrzi a következõ funkciókat:

• A tartomány más vezérlõi által végrehajtott jelszómódosításokat a rendszer replikálja az elsõdleges tartományvezérlõ emulátorára.
• A tartomány adott vezérlõjén helytelen jelszó miatt fellépõ hitelesítési hibákat a rendszer az elsõdleges tartományvezérlõ emulátorához továbbítja, mielõtt az ezzel kapcsolatos hibaüzenetet elküldi a felhasználónak.
• A fiókok zárolását az elsõdleges tartományvezérlõ emulátora kezeli.
• Az elsõdleges tartományvezérlõ elvégzi az összes olyan feladatot, amelyet a Microsoft Windows NT 4.0 Server rendszerrel mûködõ vagy korábbi elsõdleges tartományvezérlõ ellát a Windows NT 4.0 vagy korábbi rendszerrel mûködõ ügyfeleken.

Az elsõdleges tartományvezérlõ emulátorának ez a szolgáltatása szükségtelenné válik, ha a Windows NT 4.0 vagy korábbi rendszerrel mûködõ összes számítógépet Windows 2000 rendszerre frissíti. Az elsõdleges tartományvezérlõ emulátora a Windows 2000 környezetben ismertetett feladatokat is ellátja.

Az alábbi rész a frissítés során végrehajtott módosításokat ismerteti:

• A Windows 2000 rendszerrel mûködõ ügyfelek (munkaállomások és tagkiszolgálók) és az alacsonyabb szintû ügyfelek, amelyeken telepítették a megosztott szolgáltatások ügyfélcsomagját, nem írhatnak a címtárba (például nem módosíthatják a jelszót) fõként azon tartományvezérlõ esetében, amely elsõdleges tartományvezérlõként hirdette magát; a tartomány bármely tartományvezérlõjét használhatják.
• Ha az alacsonyabb szintû tartományok tartalék tartományvezérlõit (BDC) Windows 2000 rendszerre frissíti, az elsõdleges tartományvezérlõ emulátora nem kapja meg az alacsonyabb szintû replikálási kérelmeket.
• A Windows 2000 rendszerrel mûködõ ügyfelek (munkaállomások és tagkiszolgálók) és az alacsonyabb szintû ügyfelek, amelyeken telepítették a megosztott szolgáltatások ügyfélcsomagját, az Active Directory segítségével keresik a hálózati erõforrásokat. A Windows NT böngészõszolgáltatására nincs szükségük.

Infrastruktúra FSMO-szerep

Ha egy tartomány objektumára egy másik tartomány objektuma hivatkozik, a hivatkozás alapja a hivatkozott objektum globális egyedi azonosítója, biztonsági azonosítója (a biztonsági tagokra való hivatkozáshoz) és megkülönböztetõ neve. Az infrastruktúra FSMO-szerep tulajdonosa a tartományok közötti objektumhivatkozásokban az objektum biztonsági azonosítójának és megkülönböztetõ nevének frissítéséért felelõs tartományvezérlõ.

Megjegyzés: Az infrastruktúrakezelõi (IM) szereppel olyan tartományvezérlõnek kell rendelkeznie, amely nem globáliskatalógus-kiszolgáló (GC). Ha az infrastruktúra-fõkiszolgálói szerepkört globáliskatalógus-kiszolgálón futtatja, az felhagy az objektuminformációk frissítésével, mivel ebben az esetben a kiszolgáló az általa nem tárolt objektumokra mutató hivatkozásokat nem tartalmazza. Ennek az az oka, hogy a globáliskatalógus-kiszolgáló az erdõ összes objektumának tartalmazza egy részleges replikáját. Ennek eredményeként a tartományok közötti objektumhivatkozásokat a rendszer nem frissíti a tartományban, és ezzel kapcsolatos figyelmeztetést naplóz a tartományvezérlõ eseménynaplójában.

Ha a tartomány összes tartományvezérlõjén megtalálható a globális katalógus, az összes tartományvezérlõ adatai frissek, és nem fontos, hogy melyik tartományvezérlõn találhatók az infrastruktúrakiszolgáló adatai.